Mercredi matin, des milliers de professionnels de la cybersécurité ont envahi les halls du Mandalay Bay Convention Center de Las Vegas, épicentre de la conférence annuelle Black Hat sur la cybersécurité, où des dizaines d'entreprises présentaient leurs produits.
Au premier rang et avec l'un des plus grands stands se trouvait CrowdStrike, une société qui est récemment devenue un nom familier - mais pas en raison de ses prouesses pour arrêter les piratages.
Le 19 juillet, CrowdStrike a diffusé une mise à jour logicielle défectueuse qui a fait planter au moins 8,5 millions d'ordinateurs dans le monde entier, entraînant des retards de vols, perturbant le fonctionnement des hôpitaux - y compris certaines opérations chirurgicales - et paralysant plusieurs agences gouvernementales américaines, parmi de nombreuses autres organisations qui ont dû redémarrer manuellement les ordinateurs et les serveurs pour revenir à la normale.
Depuis lors, CrowdStrike a partagé des mises à jour sur sa propre enquête sur la panne. La société a également offert des cartes-cadeaux Uber Eats de 10 dollars à ses partenaires, dont certains ont dû passer des heures à se remettre de l'incident, afin de les remercier sincèrement et de leur présenter ses excuses pour la gêne occasionnée.
Selon un porte-parole de CrowdStrike, plusieurs personnes ayant reçu le bon - dont certaines estimaient que le cadeau n'était pas à la hauteur - n'ont pas pu encaisser la carte-cadeau avant qu'Uber ne la signale comme frauduleuse, « en raison d'un taux d'utilisation élevé ».
Sur les boîtes de figurines empilées sur le stand de l'entreprise, qui étaient constamment réapprovisionnées, CrowdStrike a fait figurer un message concernant la panne. « Les adversaires ne s'arrêtent pas. Nous non plus », disait le message. « La résilience commence avec nous. Nous nous concentrons sur vous ».
La société a projeté le même message sur un grand écran dans le couloir qui mène du casino Mandalay Bay au centre de convention.
Kevin Benacci, directeur principal de la communication de CrowdStrike, a déclaré que « ce message exprime notre gratitude et notre reconnaissance à l'égard de la communauté Black Hat, ainsi que le soutien que nous avons reçu après l'incident ». Benacci a ajouté que l'entreprise avait « des membres de l'équipe technique dans le stand pour s'occuper de l'incident ».
CrowdStrike reçoit un Pwnie Award
Les Pwnie Awards récompensent à la fois l'excellence et l'incompétence dans le domaine de la sécurité de l'information. Les gagnants sont sélectionnés par un comité de professionnels de l'industrie de la sécurité parmi les nominations recueillies auprès de la communauté de la sécurité de l'information. Les nominations sont annoncées chaque année lors de la Summercon, et les prix eux-mêmes sont décernés lors de la conférence Black Hat sur la sécurité.
La décision d’accorder ce prix à CrowdStrike a été prise à la dernière minute, car comment CrowdStrike aurait-il pu ne pas gagner ? Lorsqu’un trophée comiquement grand a été apporté sur scène sous les applaudissements nourris, Sentonas a admis que ce n’était « certainement pas le prix dont on peut être fier de recevoir ». Il a ajouté : « Parce que nous avons complètement échoué, nous l’avons dit à plusieurs reprises, il est très important de se féliciter lorsque vous faites bien les choses, mais il est également très important d’assumer lorsque vous faites complètement fausse route ».
Sentonas a déclaré qu’il ramènerait le trophée au siège de CrowdStrike et le mettrait en évidence comme un rappel que « notre objectif est de protéger les gens, et nous avons échoué ici, et je veux m’assurer que tout le monde comprenne que ces choses ne peuvent pas arriver ».
Certaines personnes au Def Con pardonnent Crowdstrike, tandis que d’autres blâment Microsoft WindowsCrowdStrike accepting the @PwnieAwards for “most epic fail” at @defcon. Class act. pic.twitter.com/e7IgYosHAE
— Dominic White 👾 (@singe) August 10, 2024
Lors de la conférence annuelle de sécurité Black Hat, Crowdstrike jouit d’un moment de notoriété culturelle étrange. Les visiteurs affluent vers son stand pour prendre des selfies et récupérer des t-shirts et autres articles promotionnels de la société. Certains participants ont réagi avec indifférence à l’idée que Crowdstrike puisse être tenu responsable d’un problème lié à une mise à jour de routine, un incident qui pourrait toucher n’importe quelle entreprise de sécurité étroitement liée à Microsoft Windows.
« Est-ce que cela diminue mon opinion sur leur capacité à être une entreprise de sécurité de pointe ? Je ne pense pas », a déclaré un employé du gouvernement américain, qui dit utiliser CrowdStrike tous les jours. L'employé a demandé à rester anonyme car il n'était pas autorisé à parler à la presse. Un autre employé du gouvernement américain qui a également déclaré utiliser CrowdStrike dans le cadre de son travail, a affirmé qu'il continuerait à utiliser les produits de l'entreprise et qu'il n'avait pas perdu confiance en elle.
Un ingénieur en sécurité a déclaré qu'une partie de son entreprise a été affectée par la panne, mais qu'elle a pu se rétablir dans les 24 heures. « CrowdStrike s'est montré très efficace en fournissant des conseils de remédiation et en faisant tout ce qui était en son pouvoir pour rétablir la situation », a-t-il déclaré, ajoutant que son opinion sur CrowdStrike n'avait pas changé et qu'il n'envisageait « absolument pas » de passer à un autre fournisseur. « Ils sont les meilleurs de leur catégorie, ils sont au sommet de leur art », a-t-il déclaré.
Un avis qui n'a pas fait l'unanimité
Seth Faeder, ingénieur chez ClearChoice Dental Implants Centers, a déclaré que son entreprise n'a pas été touchée parce qu'elle utilise Sophos, un concurrent de CrowdStrike. Mais sa société mère utilise CrowdStrike, et lui et son équipe ont donc dû aider à remettre en ligne les postes de travail touchés, ce qui « n'a pas été très amusant ». « Cela m'a donné une vision plus négative de l'entreprise, c'est certain », a déclaré Faeder. « Nous avons fini par dire à [ses collègues] qu'ils devraient peut-être s'intéresser à Sophos après cela ».
Certains soulignent la fragilité de l'écosystème de sécurité.
Ebenezer Chunduru, analyste de sécurité chez CapMetro, une entreprise qui a déclaré avoir été touchée par la panne, a déclaré que l'incident avait ouvert les yeux sur la fragilité des outils de cybersécurité. « Pouvons-nous faire confiance à un quelconque outil à l'heure actuelle ? Nous ne devrions pas dépendre d'un outil. Mais en même temps, ils font un très bon travail ».
D’autres ont souligné que Microsoft devrait également assumer sa part de responsabilité dans cette panne.
Selon eux, la conception de Windows dans son architecture centrale favorise l’instabilité des pilotes, les logiciels malveillants et les logiciels espions. « Microsoft ne devrait pas accorder un tel niveau d’accès à des tiers », a déclaré un expert en cybersécurité. « Microsoft se plaint que c’est simplement la façon dont fonctionne la technologie ou les licences, mais c’est absurde, car ce même problème n’a pas affecté Linux ou Mac. Et Crowdstrike l’a détecté très tôt. »
Conclusion
Lors de la conférence Black Hat, CrowdStrike a fait comme si de rien n'était, malgré la panne informatique mondiale qui a provoqué des perturbations et des retards pendant plusieurs jours, voire plusieurs semaines pour certains clients. La conférence a eu lieu au moment où CrowdStrike a publié son analyse des causes profondes expliquant ce qui s'est passé le jour de la panne. En résumé, CrowdStrike a admis avoir commis une erreur, mais a déclaré avoir pris des mesures pour éviter qu'un tel incident ne se reproduise. Certains professionnels de la cybersécurité présents à la conférence Black Hat semblent prêts à donner une seconde chance à l'entreprise.
Source : Black Hat
Et vous ?
Quelle est votre opinion sur la transparence des entreprises en matière de cybersécurité ? CrowdStrike a choisi d’assumer publiquement son échec. Pensez-vous que d’autres entreprises devraient faire de même lorsqu’elles commettent des erreurs ?
Quelles mesures CrowdStrike devrait-elle prendre pour éviter de tels incidents à l’avenir ? Comment peuvent-ils améliorer leurs processus de mise à jour et de test ?
Quel est l’impact potentiel d’une panne informatique mondiale causée par une entreprise de cybersécurité ? Comment cela pourrait-il affecter la confiance des clients et la réputation de l’entreprise ?
Devrions-nous être plus indulgents envers les entreprises qui travaillent dans des domaines complexes et risqués comme la cybersécurité ? Ou devrions-nous être plus critiques envers leurs erreurs ?
Quelles sont les leçons que d’autres entreprises de cybersécurité peuvent tirer de cet incident ?
Quelle est votre opinion sur la responsabilité des entreprises de cybersécurité lorsqu’un problème survient avec une mise à jour de routine ? Certains soutiennent que Crowdstrike devrait être pardonné, tandis que d’autres estiment que toute entreprise liée à Microsoft Windows doit assumer sa part de responsabilité.
Pensez-vous que Microsoft devrait revoir la conception de Windows pour éviter de tels problèmes à l’avenir ? Certains experts affirment que l’architecture centrale de Windows favorise l’instabilité des pilotes et des logiciels malveillants. D’autres pensent que Microsoft devrait mieux contrôler l’accès des tiers.
Quelles mesures les entreprises de cybersécurité devraient-elles prendre pour éviter de tels incidents à l’avenir ? Devraient-elles être plus transparentes sur leurs processus de détection et de correction des vulnérabilités ?
Pensez-vous que la notoriété culturelle de Crowdstrike devrait être affectée par cet incident ? Certains participants au Def Con semblent indifférents, tandis que d’autres remettent en question la crédibilité de l’entreprise.